Физика атомного реактора Сопротивление материалов Математика решение задач Информатика Атомная энергетика безопасность Электротехника и электроника

Построение авторизации механизм парольной защиты средствах защиты ОС процедура идентификации ввод идентификатора и пароля биометрические характеристики модель защиты права доступа диспетчер доступа каноническая модель метки безопасности

Аудит безопасности ИС дает возможность руководителям и сотрудникам организаций получить ответы на вопросы:
o как оптимально использовать существующую ИС при развитии бизнеса;
o как решаются вопросы безопасности и контроля доступа;
o как установить единую систему управления и мониторинга ИС;
o когда и как необходимо провести модернизацию оборудования и ПО;
o как минимизировать риски при размещении конфиденциальной информации в ИС организации, а также наметить пути решения обнаруженных проблем.

Двухуровневая авторизация на уровне BIOS

Альтернативный известный вариант реализации двухуровневой парольной защиты состоит в реализации добавочного механизма не на уровне входа в ОС, а перед загрузкой системы (средствами расширения BIOS). При этом перед загрузкой системы добавочное средство защиты предлагает пользователю авторизоваться с использованием внешнего носителя пароля. Затем уже при входе в систему могут использоваться штатные средства авторизации ОС. Таким образом, в отличие от рассмотренного выше подхода, здесь заменяется (дополняется) не механизм парольной защиты входа в систему, а механизм парольной защиты BIOS (контроля загрузки системы). Данный подход используется в специальных дополнительных программно-аппаратных средствах защиты, так называемых «Электронных замках». (При этом, несмотря на использование аппаратной компоненты, собственно защита осуществляется программно).

К достоинствам данного подхода, по сравнению с рассмотренным выше, можно отнести противодействие скрытым угрозам непосредственно в процессе загрузки системы. В частности, загрузочное меню ОС здесь уже может быть вызвано только санкционированным пользователем.

К очевидным недостаткам данного подхода можно отнести необходимость использования дополнительной аппаратной компоненты системы защиты — платы, реализующей функцию расширения BIOS.

Примечание

В дальнейшем (в шестой части книги) будет показано, что на наш взгляд аппаратную компоненту можно наделить несколько иными свойствами.

Сетевая авторизация

Описанные ранее способы двухуровневой авторизации могут быть реализованы как в локальном, так и в сетевом исполнении. Оба данных подхода могут осуществлять локальную авторизацию добавочным средством при использовании сетевой авторизации пользователя на контроллере домена встроенным в ОС механизмом. Кроме того, для двухуровневой авторизации на уровне ОС оба уровня защиты могут быть выполнены в виде сетевой авторизации. При этом дополнительная авторизация осуществляется на сервере безопасности (т.е. пароли добавочного средства защиты хранятся не на защищаемом компьютере, а на сервере безопасности).

В этом случае механизм добавочной защиты содержит клиентскую часть, устанавливаемую на защищаемый компьютер, и серверную часть, устанавливаемую на сервер безопасности. Серверная часть содержит учетную запись пользователя, а также пароли для аутентификации пользователя добавочным механизмом защиты и на контроллере домена при выполнении процедуры авторизации, серверная часть функционирует аналогично контроллеру домена. При этом наряду с функциями контроллера домена она реализует собственно процедуру авторизации, выдавая на клиентскую часть (на компьютер, где осуществлена загрузка ОС) окно ввода идентификатора и пароля пользователем. Клиентская же часть осуществляет сокрытие окна авторизации контроллера домена и подстановку пароля ОС, который поступает с серверной части при прохождении авторизации пользователем в добавочном механизме защиты. Отметим, что применение сетевой авторизации в данном случае, не давая каких-либо преимуществ по защите пароля (предполагаем, что на защищаемом компьютере установлено добавочное средство защиты, локально обеспечивающее надежную защиту учетных и парольных данных пользователя), существенно сказывается на надежности функционирования защищаемой сети. Действительно, выход из строя сервера безопасности приводит к отказу всей сети. При этом ни на одном компьютере сети не сможет быть осуществлен вход пользователя в систему. Таким образом, надежность сети в целом (а в общем случае и всех информационных систем, реализованных на базе данной сети) в данном случае определяется надежностью одного компьютера. Это, по мнению автора, недопустимо в большинстве приложений информационных систем. И прежде всего это касается тех из них, которые предполагают распределенную обработку данных. С учетом сказанного могут быть сформулированы следующие рекомендации по реализации механизмов двухуровневой авторизации: дополнительный механизм защиты должен быть реализован локально. При этом системой защиты должно обеспечиваться надежное хранение парольной информации на защищаемом компьютере. Встроенный в ОС механизм может быть настроен как в режиме локальной, так и в режиме сетевой авторизации, в зависимости от задач, решаемых в сети.

Понятие аудита безопасности. Аудит представляет собой независимую экспертизу отдельных областей функционирования предприятия. Одной из составляющих аудита предприятия является аудит безопасности его ИС.
В настоящее время актуальность аудита безопасности ИС резко возросла. Это связано с увеличением зависимости организаций от информации и ИС. Возросла уязвимость ИС за счет повышения сложности элементов ИС, появления новых технологий передачи и хранения данных, увеличения объема ПО. Расширился спектр угроз для ИС из-за активного использования предприятиями открытых глобальных сетей для передачи сообщений и транзакций.

Авторизация парольный вход Права доступа Экспертные системы и экспертный анализ